Get best of the week

六个月前我们由于光学系统断路而改用udalenka



在我们两座建筑物之间,这两座建筑物之间有500米的深色光学元件,我们决定在地面上挖一个大洞。用于改善领土(作为铺设供热总管和建造新地铁入口的最后阶段)。为此,您需要一台挖掘机。从那时起,我无法平静地看着它们。通常,当挖掘机和光学元件在太空中的某一点相遇时,不可避免地会发生某种事情。可以说,这就是挖掘机的本质,他不能错过。

一栋大楼是我们的主服务器平台,而另一栋半公里处是一间办公室。备用通道是通过VPN的Internet。出于安全考虑,我们之所以没有在建筑物之间放置光学设备,并不是因为经济效率低下(这种方式使流量比通过提供商的服务便宜),还仅仅是因为连接速度很快。仅仅是因为我们是可以将光学器件投入银行的人。但是银行制造麻烦,而有了第二个环节,整个项目经济就会以不同的方式崩溃。

实际上,正是在悬崖峭壁之时,我们才切换到了远程站点。在你自己的办公室。更准确地说,一次两次。

悬崖前


由于多种原因(包括未来发展计划),很明显,有必要在几个月内转移服务器机房。我们开始悠闲地探索可能的选择,包括考虑使用商业数据中心。我们有出色的集装箱柴油发动机,但是当一个居民区出现在工厂区域时,我们被要求将其拆除,结果我们失去了有保证的电源,结果导致将计算设备从远程建筑物传输到办公室中一台服务器的能力。

当挖掘机爬上大楼时,我们作为一家公司继续全力以赴(但由于滞后而导致内部服务水平下降)。他们被迫将服务器转移到数据中心,并在办公室之间铺设光纤。最近,我们所有的分布式基础架构都位于提供商VPN星上。历史上曾经如此建造过。设计该项目的目的是使不同节点之间的任何部分的光学器件都不会位于同一电缆导管中。从字面上看,今年2月已完成:主要设备已运输到商业数据中心。

然后,出于生物学原因,几乎立即开始去除肿块。VPN曾经存在,访问方法也没有,没有人专门开发任何新东西。但从来没有像现在这样的任务,即让拥有全部资源的每个人同时通过VPN。幸运的是,迁移到数据中心才可以极大地扩展Internet访问通道并不受限制地连接整个状态。

也就是说,从逻辑上讲,我应该感谢这款挖掘机。因为如果没有他,我们将在很长一段时间内迁移,也无法为封闭市场提供经过认证和验证的解决方案。

第x天


部分员工只缺少笔记本电脑,因为已经有用于远程工作的整个基础架构。然后一切都变得简单了:我们能够在开始远程工作之前发行几百台笔记本电脑。但这是我们的储备金:修理,更换旧车。他们没有尝试购买,因为那时市场上开始出现小异常现象。Interfax 3月31日写道:

俄罗斯公司员工转移到远程工作,导致大量购买笔记本电脑,并且耗尽了系统集成商和分销商的仓库。供应新设备可能需要两到三个月。

由于紧急情况,分销商的库存已售罄。据粗略估计,新的交付应该只在七月才到,还不清楚发生了什么,因为大约在同一时间,卢布汇率开始出现跳跃式增长。

手提电脑


我们丢失了设备。官方原因通常是员工责任心低。这是一个人在电动火车,出租车上忘记他们的时候。有时设备从汽车上被盗。我们研究了防盗解决方案的不同变体-它们都具有一个缺点,即实际上无法防止丢失。

当然,Windows笔记本电脑本身作为有形资产是有价值的,但更重要的是,它不会受到威胁,并且其数据也不会遗留在左侧。

您可以从笔记本电脑通过两步验证进入终端服务器。理论上,在设备本身上,只会存储员工的本地个人文件。至关重要的一切都位于终端机的桌面上。所有访问都通过它抛出。最终用户操作系统并不重要-在我们看来,人们可以通过MacOS悄悄地进入Win-table。

在某些设备上,您可以建立与资源的直接VPN连接。此外,还有一些软件在性能方面与硬件相关联(例如AutoCAD),或者需要Flash令牌和Internet Explorer至少6.0版的软件。工厂仍然经常使用它。当然,在这种情况下,我们设置了对本地计算机的访问权限。

对于管理,我们使用域策略和Microsoft SCCM以及Tivoli Remote Control进行具有用户权限的远程连接。当最终用户明确授权自己时,管理员可以进行连接。 Windows更新本身通过内部更新服务器进行。有一个主要在其中安装和运行的计算机池-看起来我们的软件堆栈中没有新更新,而且新更新也没有新错误的问题。手动确认后,发出滚动命令。如果VPN无法正常工作,我们将使用时间查看器来帮助用户。几乎所有生产单位都对本地计算机具有管理权限,但也正式通知他们不可能安装盗版软件和存储各种违禁材料。 U型架销售和会计部门由于缺乏需求而没有管理员权限。主要问题是软件的自我安装,而不是盗版软件,而是主要因为新软件会破坏我们的堆栈。海盗故事是标准的:即使在用户的个人笔记本电脑上发现了海盗Photoshop(由于某种原因而在工作场所),该公司也会受到罚款。即使笔记本电脑不在资产负债表上,也不在桌面上,还是台式机,站立在资产负债表上以及用户记录的文档中。我们在进行安全审核时就警告了这一点,并考虑了俄罗斯的执法惯例。即使在工作场所出于某种原因在用户的个人笔记本电脑上发现了盗版的Photoshop,公司也会对其处以罚款。即使笔记本电脑不在资产负债表上,也不在桌面上,还是台式机,站立在资产负债表上以及用户记录的文档中。我们在进行安全审核时就警告了这一点,并考虑了俄罗斯的执法惯例。即使在工作场所出于某种原因在用户的个人笔记本电脑上发现了盗版的Photoshop,公司也会对其处以罚款。即使笔记本电脑不在资产负债表上,也不在桌面上,还是台式机,站立在资产负债表上以及用户记录的文档中。我们在进行安全审核时就警告了这一点,并考虑了俄罗斯的执法惯例。

我们不使用BYOD,对于电话来说重要的是用于工作流和邮件的Lotus Domino平台。我们建议具有高访问权限的用户使用标准的IBM Traveler解决方案(现为HCL Verse)。在安装过程中,它授予清除设备数据和清除邮件配置文件的权限。如果移动设备被盗,我们将利用这一优势。 IOS比较复杂,只有内置工具。

在“更换RAM,电源或处理器”更换件之外进行修理,并且修理过的设备通常不退回。在正常工作期间-员工迅速将笔记本电脑带给支持工程师,他们可以快速诊断。始终有各种各样性能相同的热插拔笔记本电脑,这一点非常重要,否则用户将以这种方式进行升级。并且维修将大大增加。为此,您需要保留旧模型的库存。现在是他被用来分发。

虚拟专用网


VPN可用的工作资源-Cisco AnyConnect,可在所有平台上使用。总的来说,我们对该决定感到满意。我们针对网络级别具有不同访问权限的不同用户组,将其分解为一到两打配置文件。首先,按访问列表分隔。最庞大的访问是从个人设备以及从笔记本电脑到标准内部系统的访问。具有内部实验室网络的管理员,开发人员和工程师具有扩展的访问权限,解决方案的测试开发系统也位于ACL上。

在大规模过渡到远程工作的早期,由于用户不阅读所发送的说明,因此他们面对服务台的呼叫流量有所增加。

一般工作


我没有看到我的单元由于缺乏纪律或某种放松而恶化,对此写了很多书。

Igor Karavay,信息支持副主管。

More articles:


All Articles